Текущий архив: 2006.12.10;
Скачать: CL | DM;
Вниз
Как побороть троян? Найти похожие ветки
← →
radium © (2006-11-19 22:18) [0]Доброго времени суток!
Странные вещи творятся на моём компе:
1)почти постоянно присутствует сетевая активность когда её быть не должно (всё сетевые программы закрыты)
2)соотношение отправлено/принято пакетов = 7/3.5 (исходящий трафик почти в 2 раза больше)
3)Outpost Firewall Pro 4.0.971.7030(584) ничего лишнего НЕ фиксирует, а вот IMON из NOD32 2.5 видит частое обращение к http://zizza.sindaot.info/banner/index.php (предварительно http://google.com/search и некоторым другим вроде www.lovingyou.com).
4)В процессах ничего лишнего нет.
И Outpost и NOD32 про adware и пр. молчат. Тревогу не поднимают. Обыскал весь комп в поисках файла с подстроками "zizza" и "sindaot". Ничего похожего.
Как же побороть сию заразу?
← →
Чапаев © (2006-11-19 22:19) [1]Spy Bot Search&Destroy
LavaSoft AdAware
← →
MsGuns © (2006-11-19 23:29) [2]format c:
лечит радикально
← →
Гарри Поттер © (2006-11-20 00:05) [3]> 4)В процессах ничего лишнего нет.
Смотри процессы запущеные от имени юзера svchost, winlogon, services и подобные.
← →
radium © (2006-11-20 00:15) [4]
> Чапаев © (19.11.06 22:19) [1]
попробую
> MsGuns © (19.11.06 23:29) [2]
до такого не хочется доводить )
> Гарри Поттер © (20.11.06 00:05) [3]
Process Killer"ом информацию о процессах смотрел - всё нормально, все свои. Если конечно не заражены.
Спасибо всем. Буду копать дальше. В крайнем случае [2].
Вообще странно, что Outpost не видит трафика. Хоть сниффер бери...
← →
DeadMeat © (2006-11-20 09:17) [5]Ты не Process Killerom смотри, а возьми Process Explorer от www.sysinternals.com
← →
StriderMan © (2006-11-20 09:18) [6]
> Как побороть троян?
тапком его!!
← →
Elen © (2006-11-20 11:21) [7]
> Обыскал весь комп в поисках файла
А в реестре искал? Рабочий стол у тебя не как интерактивная страница?
← →
radium © (2006-11-21 03:25) [8]Ничего не помогло (Spy Bot Search&Destroy в частности. Хотя и удалил кое-что кроме :)). Забыл указать - стоит WinXP SP2. Троян стартует на уровне системных процессов, ещё до залогинивания. Отключал всё что только можно - всё равно, если есть сеть, значит есть левый трафик. Так что склоняюсь к [2]. Скорее всего происходящее - отголосок заражения через эксплоитный wmf-файл. Было достаточно 1 ссылки. Если интересно - страница http://phpedit.svoi.net/rus/plugins.phpedit, на ней ссылка "How to write plugins..." - она ведёт на страницу со скрытым фреймом, который через JS грузит и WMF и всё остальное. До автора сайта не достучался. Будьте осторожны! Ссылку указал как предостережение.
← →
radium © (2006-11-21 03:37) [9]P.S. Как вы понимаете, глубокий скан системы NOD"ом предшествовал моим мытарствам - что найдено, то удалено.
← →
isasa © (2006-11-21 08:49) [10]Администрирование -> Управление компьютером -> Диспетчер устройств
Меню Вид -> Показать скрытые устройства = ON
Ищем справа ветку Драйверы устройств не Plug&Play
Давим подозрительные (надеясь на интуицию и нюх :) ).
Операция чревата ... :)
← →
Anatoly Podgoretsky © (2006-11-21 08:50) [11]> radium (21.11.2006 03:37:09) [9]
У тебя какой то зоопарк на компьютере, NOD - нашел, SpyBot - нашел.
Не пора ли кардинально к проблеме подойти, квалифицировано?
Страницы: 1 вся ветка
Текущий архив: 2006.12.10;
Скачать: CL | DM;
Память: 0.49 MB
Время: 0.035 c
